本发明专利技术公开了一种交换机加密系统,该系统包括:CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块。通过该系统,实现了数据变换、数据过滤、运算处理、历史数据存储、统计处理、报警处理、服务请求等基础功能;芯片采用软件多级检测和硬件多重保护机制来提高稳定性,完全满足了工业级标准和工业用户的需求;兼具入侵监测、流量预测与智能调度等能力,实现了数据汇聚、数据分流和控制流数据的自适应传输,为工控网络提供安全的服务信息通信功能。
【技术实现步骤摘要】
一种交换机加密系统
本专利技术涉及网络安全
,具体来说,涉及一种交换机加密系统。
技术介绍
近年来,随着工控网络日益发展,技术、新应用的不断推出,各种工控网络协议的不断完善的同时,工控网络信息安全威胁的问题日渐突出,例如之前出现的震网病毒及最近出现的西门子分布式控制系统SPPA-T3000漏洞,直接威胁并影响到工控网络的设备、机密和整体运维的可靠性和安全性。在5G和工业互联网快速部署的情况下,工控网络的安全问题将更为突出。目前我国工控网络使用的是传统的安全解决方案,存在以下问题:基于安全服务器平台实现网络安全,无法满足工控网络实时性要求;而普通硬件网关无法满足工业控制网络对于多业务传输的高带宽大容量需求;目前市面上的商用工业网关(如EasyProfiBus)虽然能够完成工业现场设备的维护、管理以及信息转发,但是解决问题相对单一,无法解决工业网络差异化需求;高度集成化的工业网关以CPU、GPU等通用型芯片以及半定制的FPGA为核心,体积大、功耗高、可靠性和保密性无法满足特定工业应用的定制化需求;市场上解决当前工业网络所面临问题的工业网关设备主要以国外产品为主,价格昂贵,且产品不具备自主知识产权,很容易被国外“卡脖子”。
技术实现思路
针对相关技术中的上述技术问题,本专利技术提出一种交换机加密系统,能够克服现有技术的上述不足。为实现上述技术目的,本专利技术的技术方案是这样实现的:一种交换机加密系统,该系统包括:CPU控制管理系统,所述CPU控制管理系统用于整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权服务,所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;核心芯片网络流处理系统,所述核心芯片网络流处理系统用于接收从4个千兆接口和4个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块,其中,所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是PCI-E总线,采用专用硬件通信协议和控制协议进行互联。进一步的,所述包头分析模块用于解析报文L2-L5的信息域,并进行报文合法性检查,根据L2-L5信息域的MATCH规则,用户基于报文信息域进行过滤规则设置,其中,L2-L5为网络协议的不同层级。进一步的,所述2层交换模块用于支持MAC地址的学习与查找,透明模式的转发;所述3层交换模块用于支持子网表、主机路由表和用户表的查找,基于用户的认证和会话数量限制,路由模式的转发。进一步的,所述状态检查模块用于根据报文的L3和L4包头信息查找状态表,其中,当找到状态表时,按照协议做状态迁移检查;当未找到状态表时,认为当前包是首包,状态检查模块不做任何处理,传递给下级模块。进一步的,所述白名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,并记录相应的比对结果,执行白名单动作,所述9元组包括接口、源MAC、目的MAC、VLAN、EthernetType、IP协议、源IP、目的IP、端口。进一步的,所述黑名单策略查找模块用于对于状态检查模块完整的报文,通过9元组进行策略匹配查找比对,同时根据报文应用层内容字段进行比对,并记录相应的比对结果,执行黑名单动作。进一步的,所述流分类与流量控制模块用于按照用户、策略规则对报文数据流进行分类,并对各分类进行带宽管理和流量整形处理。进一步的,所述输入输出模块包括输入模块、输出模块。进一步的,所述输入模块用于根据输入的报文类型进行缓存处理,把报文整个推入包缓存,提取报文头部信息,打上报文的包ID送到后续模块继续处理;输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包ID读取包缓存内报文,处理完成后通过以太网接口输出。进一步的,所述输出模块用于根据前级所有硬件处理的结果,进行执行动作和修改报文内容的操作,通过包ID读取包缓存内报文,处理完成后通过以太网接口输出。本专利技术的有益效果:通过该系统,解决了工业4.0时代工控网络所面临问题的自研工业网关产品,填补了国内自主知识产权工控网关领域的技术空白;实现了数据变换、数据过滤、运算处理、历史数据存储、统计处理、报警处理、服务请求等基础功能;采用高性能工业级通信处理器,其计算能力和计算效率可直接根据算法需要定制,与国内外同类产品相比体积小、功耗低、可靠性高、保密性强、计算性能高和计算效率更快;芯片采用软件多级检测和硬件多重保护机制来提高稳定性,完全满足了工业级标准和工业用户的需求;基于自研芯片实现具备SDN/NFV等扩展功能的智能网关硬件设备,该产品可具备多个千兆和万兆的安全交换能力,整体吞吐能力大于20Gbps,网络延迟达到微秒级;有效针对各种安全威胁的黑白名单灵活控制、自主过滤和安全检查,规避了远程恶意代码、蠕虫DoS等网络攻击;兼具入侵监测、流量预测与智能调度等能力,实现了数据汇聚、数据分流和控制流数据的自适应传输,为工控网络提供安全的服务信息通信功能。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是根据本专利技术实施例所述的一种交换机加密系统的原理框图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本专利技术保护的范围。如图1所示,根据本专利技术实施例所述的一种交换机加密系统,包括:CPU控制管理系统,所述CPU控制管理系统用于整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权服务,所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;核心芯片网络流处理系统,所述核心芯片网络流处理系统用于接收从4个千兆接口和4个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块,其中,所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是PCI-E总线,采用专用硬件通信协议和控制协议进行互联。在本专利技术的一个具体实施例中,所述包头分析模块用于解析报文L2-L5的信息域,并进行报文合法性检查,根据L2-L5信息域的MATCH规则,用户基于报文信息域进行过滤规则设置,其中,L2-L5为网络协议的不同层级。在本专利技术的一个具体实施例中,所述2层交换模块用于支持MAC地址的学习与查找,透明模式的本文档来自技高网...
【技术保护点】
1.一种交换机加密系统,其特征在于,包括:/nCPU控制管理系统,所述CPU控制管理系统用于整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权服务,所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;/n核心芯片网络流处理系统,所述核心芯片网络流处理系统用于接收从 4 个千兆接口和 4 个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块,其中,/n所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是 PCI-E总线,采用专用硬件通信协议和控制协议进行互联。/n
【技术特征摘要】
1.一种交换机加密系统,其特征在于,包括:
CPU控制管理系统,所述CPU控制管理系统用于整个系统的软硬件初始化,安全配置管理,计划调度和用户认证鉴权服务,所述CPU控制管理系统包括初始化模块、安全模块、调度模块、认证鉴权模块;
核心芯片网络流处理系统,所述核心芯片网络流处理系统用于接收从4个千兆接口和4个万兆接口进入的网络数据流,所述核心芯片网络流处理系统包括包头分析模块、2层交换模块、3层交换模块、状态检查模块、白名单策略查找模块、黑名单策略查找模块、流分类与流量控制模块、输入输出模块,其中,
所述CPU控制管理系统、核心芯片网络流处理系统之间的接口是PCI-E总线,采用专用硬件通信协议和控制协议进行互联。
2.根据权利要求1所述的一种交换机加密系统,其特征在于,所述包头分析模块用于解析报文L2-L5的信息域,并进行报文合法性检查,根据L2-L5信息域的MATCH规则,用户基于报文信息域进行过滤规则设置,其中,L2-L5为网络协议的不同层级。
3.根据权利要求1所述的一种交换机加密系统,其特征在于,所述2层交换模块用于支持MAC地址的学习与查找,透明模式的转发;所述3层交换模块用于支持子网表、主机路由表和用户表的查找,基于用户的认证和会话数量限制,路由模式的转发。
4.根据权利要求1所述的一种交换机加密系统,其特征在于,所述状态检查模块用于根据报文的L3和L4包头信息查找状态表,其中,当找到状态表时,按照协议做状态迁移检查;当未找到状态表时,认为当前包是首包,状态检查模块不做任何处理,传递给下级模块。
【专利技术属性】
技术研发人员:匡俊华,邓微微,高伟,陈胤先,
申请(专利权)人:北京京投信安科技发展有限公司,北京京投卓越科技发展有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。